Studio e sviluppo di tecniche di password cracking targettizzato

L'autenticazione via password è il metodo più comune per accedere a servizi e dati grazie alla sua semplicità: presenta però difetti ben documentati, primo fra tutti il fattore umano. Le persone tendono ad usare termini comuni o dati anagrafici: questa caratteristica risulta una potenziale vulnerabilità in caso di attacco informatico. Lo scopo di questa tesi è quello di sviluppare e studiare tecniche di password cracking targettizzato: tali tecniche consistono nell'attaccare una password di un utente-target sfruttando i suoi dati personali. Gli esperimenti effettuati sono basati su molteplici obiettivi e non su di un singolo attacco: vengono raccolti in un unico file sia le informazioni personali sia le password di migliaia di utenti. Alcune di queste persone sono usate per allenare i modelli mentre altre sono usate come target. I sistemi valutati cercano dei pattern nei dati in ingresso generando in uscita delle regole che definiscano tali comportamenti. Dopo aver creato queste regole, univoche per ogni file in input, i tool generano ipotesi di password basate su di esse; le password generate vengono messe a loro volta in input in uno strumento che le confronterà con quelle target da recuperare. I test evidenziano che uno strumento in grado di sfruttare al meglio (ovvero in maniera efficiente e scalabile) le informazioni personali, legate ad un target, non esiste. Il tool che ha dato risultati migliori si chiama PCFG-Cracker: ha recuperato quasi il 50% di un set di password in un’ora. Il dizionario di input, che ha permesso al PCFG-Cracker di ottenere il primato, è basato su informazioni personali degli individui target oltre che su delle password. Il metodo proposto, benchè non sia risultato il migliore ha ottenuto buoni risultati e può essere ulteriormente sviluppato mediante una politica di attacchi più mirati verso pochi utenti anziché molti.